Passer au contenu

Le coupe-feu, maillon essentiel de la sécurité du réseau

Détecter et stopper les tentatives d’intrusions, telle est la mission – capitale pour l’entreprise – du coupe-feu.

Pour protéger les données, le plus simple serait de les isoler du monde extérieur. Mais, cette solution, si elle est très efficace, peut se révéler préjudiciable à l’entreprise… Mieux vaut donc filtrer les données. Au préalable, il faut estimer le degré stratégique des informations. Il convient ensuite de surveiller le trafic transitant via les routeurs, afin de contrôler les échanges délictueux, et de les interrompre. Cette option surcharge toutefois les routeurs. C’est pourquoi des filtres sont déportés dans des coupe-feu.

Une police des réseaux

Les coupe-feu tamisent les informations qui entrent et sortent, paquet par paquet, adresse par adresse. Selon des règles paramétrées, ils sont plus ou moins efficaces. Des fournisseurs profitent de l’emplacement stratégique des coupe-feu pour y inclure d’autres tâches, comme la surveillance des attaques de virus. Les coupe-feu sont tous architecturés autour d’un processeur ou d’un microcontrôleur et d’au moins deux interfaces réseaux. On peut y adjoindre d’autres interfaces réseaux, des connexions WAN ou un disque dur. Il ne s’agit ni plus ni moins que d’un routeur évolué. La différence entre les modèles vient du traitement appliqué aux paquets d’informations circulant entre les ports réseaux du coupe-feu. En analysant les flux et surtout le contenu des paquets réseaux, le programme du coupe-feu peut décider quel type de donnée a le droit de passer d’une interface à une autre. En utilisant uniquement IP, il transfère un paquet sur un port spécifique. On peut décider de ne laisser passer que le trafic HTML et FTP entre le réseau local de l’entreprise et Internet. On peut aussi interdire l’accès à des adresses URL selon des critères répertoriés sur CyberPatrol, qui agissent éventuellement comme des proxies, en concentrant les requêtes du réseau service par service.

Des zones démilitarisées sur un troisième port

Les coupe-feu peuvent évitent certains types d’attaques et gèrent la translation d’adresses réseaux. La méthode consiste à convertir les adresses IP du LAN en d’autres adresses uniques ou multiples, mais d’une classe différente à destination de l’extérieur. Dans ces conditions, et du point de vue d’Internet, un coupe-feu présente l’intégralité de son réseau sous une adresse IP unique. Si le système de cloisonnement par coupe-feu est simple, il est complexe à gérer pour laisser passer de nombreux flux IP. Les fabricants ont donc créé le système des zones démilitarisées (ou DMZ) situées sur un troisième port du coupe-feu, commun aux réseaux privés et publics. C’est dans ces DMZ que sont placés les serveurs FTP afin de partager des données avec l’extérieur sans prêter le flanc à des attaques dirigées vers les postes clients. Les informations publiques restent accessibles, alors que les données sensibles de l’entreprise sont protégées.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Henri Gillarès-Calliat